做了个简单的port－monitor测试，switch的port 1、5接上pc01、02，测试ip见图，把switch的port－monitor的source port设在port 1，双向monitor，target port设在port 4，port 4接上sniffer。
（图1）

然后在port 5的pc02上ping pc01，如果port 1 的流量in、out都被镜像到port 4的话，应该能在sniffer上monitor到双向的icmp包，但经过几次测试都只能看到pc 01到pc02的icmp echo reply，就是看不到pc02发出的icmp request：
（图2）

抓包结果也一样：
（图3）

检查port－monitor配置，端口正确，也确认是进、出流量镜像；检查sniffer的过滤器（甚至逐包查，图上是把icmp以外的都过滤显示了），都没查到问题所在，请问到底什么地方有问题？？

[ 本帖最后由 gwdwx 于 2008-6-3 00:02 编辑 ]

是什么交换机？端口双工和速率情况？

引用:

原帖由 usertest 于 2008-6-3 22:18 发表
是什么交换机？端口双工和速率情况？

dlink,端口双工,速率100

没过滤的包有双向吗？

机器上实际上ping有回应吗？

引用:

原帖由 Vader 于 2008-6-3 23:05 发表
没过滤的包有双向吗？

机器上实际上ping有回应吗？

其它包倒是没留意，因为这台机只配了本网段的ip、mask，其它gw、dns都没配的，而且只开了ping -t，机器上实际上ping是有回应的。
开始以为交换机有问题，今天升级了firmware，还是这样。。。

你没有说明交换机型号

检查对应版本是否在做端口镜像时有Inbound/Outbound的概念

其实很多时候交换机对镜像端口是有 In和Out的区别的，一些型号的交换机仅支持In或Out，有一些是Both的
你的这种现象如果排除镜像操作不正确的话，应该就是对数据流的出入有限制

引用:

原帖由 haiwanxue 于 2008-6-3 23:40 发表
你没有说明交换机型号

检查对应版本是否在做端口镜像时有Inbound/Outbound的概念

呵呵不好意思，是dlink des－3226，有Inbound/Outbound，也有Inbound and Outbound，当然已选后者
firmware已升为DES3226_Firmware_600133，应该是最新版本了。

最好咨询一下dlink的客服
遇到过一些华为的中端交换机都不支持both的情况，不要太相信选项有功能就一定有
先怀疑一下

没玩儿过Dlink的镜像，不了解特点。
试试将端口全固定为半双工再看情况如何。

对了，你Capture或Display时有没有做Filter？做IP Filter时是否只做了单向的过滤？

引用:

原帖由 usertest 于 2008-6-4 12:09 发表
对了，你Capture或Display时有没有做Filter？做IP Filter时是否只做了单向的过滤？

这个不可能，我当时看到结果就觉得奇怪，还特意把sniffer的所有capture/display/monitor自定义的过滤规则删掉，然后把default reset一次，再抓包测试的。有空我再测试一次其它类型包的情况。

port－monitor的设置很简单，请见下图。
再次测试除了ping包的情况，给pc02配上gw、dns，在pc02上www.163.com、www.21cn.com，sniffer一个都没抓到，郁闷。。。换过端口测试，也是这样，有时能抓到个别http包，感觉没什么规律。连tcp三次握手都没抓到。

[ 本帖最后由 gwdwx 于 2008-6-4 19:23 编辑 ]

实际上你这个镜像只需将将Port1或Port5镜像到Port4上，将Port1和Port5都镜像到Port4这样会导致Port4收到两遍同样的数据包。俺觉得可以再试试只镜像其中一个Port，或者将端口全改成半双工再试。

引用:

原帖由 usertest 于 2008-6-6 16:22 发表
实际上你这个镜像只需将将Port1或Port5镜像到Port4上，将Port1和Port5都镜像到Port4这样会导致Port4收到两遍同样的数据包。俺觉得可以再试试只镜像其中一个Port，或者将端口全改成半双工再试。

好的，下周上班我再试试，希望奏效